jwt - 采用 Keycloak、Java 后端和 Javascript 前端的 OWASP 安全建议
问题描述
我正在检查 OWASP 备忘单,了解如何使用 JWT 与后端交互来提高前端客户端的安全性。
他们建议的方法基本上是在 JWT 中添加一个声明,其中包含一个编码的“指纹”,该指纹也通过一个硬化的 cookie 发送。
通过检查声明和 cookie 是否包含相同的指纹,在后端验证指纹。这里是 OWASP 备忘单条目
使用 Keycloak 时,是否可以使用这种方法?Keycloak JavaScript 适配器是否足够“安全”?
解决方案
推荐阅读
- python-3.x - 如何访问从 kaggle 下载到 Colaboratory notebook 的文件?
- asp.net-mvc - 将 Sitecore 项目 ID 从控制器传递给模型
- php - 如何通过 ajax 将 jQuery 变量发布到外部 PHP SQL 脚本并返回值
- java - Spring for Apache Kafka:无法识别的生产者配置 - 'delivery.timeout.ms'
- sql - 如何在 SQL 中使用正则表达式以及 ~ 是什么意思
- c# - .netcore 中没有 system.drawing?该怎么办?
- c++ - 在 64 位 Ubuntu (18.04) 系统上运行 32 位可执行文件时,如何修复 ld-linux.so.2 中的 gdb 挂起?
- firebase - “Firebase Auth”自定义声明最终是否一致?
- javascript - 如何根据道具更改我的班级渲染?
- javascript - 为什么当我按开始时我的 console.log 消息不显示?